IBM Developer descubre que la aplicación Outlook para iOS carece de la seguridad adecuada

La aplicación Outlook para iOS permite a Microsoft ver todas las credenciales de cuenta de correo y servidor sin el conocimiento de los usuarios.

El mismo día que Microsoft lanzó su nueva aplicación Outlook para iOS, René Winkelmeyer, un desarrollador de IBM, advirtió que rompe la seguridad corporativa de múltiples maneras.

El Jefe de Desarrollo en midpoints GmbH y Campeón de IBM, René Winkelmeyer, ha descubierto algunos problemas de seguridad que Microsoft obtendrá y almacenará las credenciales de su cuenta de correo y los datos del servidor en la nube (sin notificarle) si utiliza la nueva aplicación Outlook para iOS.

Descubrió estos detalles mientras analizaba cómo el mecanismo de la aplicación Outlook para iOS maneja las notificaciones push y notas, que Microsoft tiene acceso potencial a los datos de gestión de información personal. Él elabora esto en detalle aquí.

Otra complicación de seguridad de la aplicación Outlook para iOS es que, aunque la aplicación sea instalada por el usuario en múltiples dispositivos, tendrá la misma ID en todos ellos, lo que impedirá a los administradores distinguir el dispositivo de un usuario de otro. Además, los conectores integrados de la aplicación Outlook para iOS a OneDrive, Dropbox y Google Drive son una pesadilla de seguridad de datos.

René Winkelmeyer señaló sobre los conectores integrados en la aplicación Outlook para iOS:

“Eso significa que un usuario puede configurar su cuenta personal dentro de la aplicación y compartir todos los archivos adjuntos de correo utilizando esos servicios. O usar archivos de esos servicios dentro de su cuenta de correo de la empresa”

Estos problemas de seguridad llegan a la nueva aplicación Outlook para iOS después de que Microsoft compró la firma de aplicaciones de correo móvil Accompli hace menos de dos meses y han actualizado su política de privacidad (actualizada el 28 de enero de 2015) que dice:

“Proporcionamos un servicio que indexa y acelera la entrega de su correo electrónico a su dispositivo. Eso significa que nuestro servicio recupera sus mensajes de correo electrónico entrantes y salientes y los envía de forma segura a la aplicación en su dispositivo. De manera similar, el servicio recupera los datos del calendario y los contactos de la libreta de direcciones asociados con su cuenta de correo electrónico y los envía de forma segura a la aplicación en su dispositivo. Esos mensajes, eventos del calendario y contactos, junto con sus metadatos asociados, pueden ser almacenados temporalmente e indexados de forma segura tanto en nuestros servidores como localmente en la aplicación en su dispositivo. Si sus correos electrónicos tienen archivos adjuntos y solicita abrirlos en nuestra aplicación, el servicio los recupera del servidor de correo, los almacena de forma segura temporalmente en nuestros servidores y los entrega a la aplicación.” ” Si decide registrarse para utilizar el servicio, necesitará crear una cuenta. Eso requiere que proporcione la(s) dirección(es) de correo electrónico que desea acceder con nuestro servicio. Algunas cuentas de correo electrónico (las que utilizan Microsoft Exchange, por ejemplo) también requieren que proporcione sus credenciales de inicio de sesión de correo electrónico, incluyendo su nombre de usuario, contraseña, URL del servidor y dominio del servidor. Otras cuentas (cuentas de Google Gmail, por ejemplo) utilizan el mecanismo de autorización OAuth que no requiere que accedamos o almacenemos su contraseña.”

Por ahora, René Winkelmeyer recomienda a todos los administradores que digan a los empleados que no utilicen la aplicación Outlook para iOS y que la bloqueen para que no acceda a los servidores de correo de sus empresas. Hasta que se puedan resolver los problemas de seguridad.